ElasticSearch知识分享

一、基础介绍及索引原理分析

介绍

Elasticsearch 是一个分布式可扩展的实时搜索和分析引擎,一个建立在全文搜索引擎 Apache Lucene(TM) 基础上的搜索引擎.当然 Elasticsearch 并不仅仅是 Lucene 那么简单,它不仅包括了全文搜索功能,还可以进行以下工作:

分布式实时文件存储,并将每一个字段都编入索引,使其可以被搜索。

实时分析的分布式搜索引擎。

可以扩展到上百台服务器,处理PB级别的结构化或非结构化数据。

基本概念

先说Elasticsearch的文件存储,Elasticsearch是面向文档型数据库,一条数据在这里就是一个文档,用JSON作为文档序列化的格式,比如下面这条用户数据:

{

    "name" :     "John",

    "sex" :      "Male",

    "age" :      25,

    "birthDate": "1990/05/01",

    "about" :    "I love to go rock climbing",

    "interests": [ "sports", "music" ]

}

用Mysql这样的数据库存储就会容易想到建立一张User表,有balabala的字段等,在Elasticsearch里这就是一个文档,当然这个文档会属于一个User的类型,各种各样的类型存在于一个索引当中。这里有一份简易的将Elasticsearch和关系型数据术语对照表:

关系数据库     ⇒ 数据库 ⇒ 表    ⇒ 行    ⇒ 列(Columns)

Elasticsearch  ⇒ 索引(Index)   ⇒ 类型(type)  ⇒ 文档(Docments)  ⇒ 字段(Fields)  

一个 Elasticsearch 集群可以包含多个索引(数据库),也就是说其中包含了很多类型(表)。这些类型中包含了很多的文档(行),然后每个文档中又包含了很多的字段(列)。Elasticsearch的交互,可以使用Java API,也可以直接使用HTTP的Restful API方式,比如我们打算插入一条记录,可以简单发送一个HTTP的请求:

PUT /megacorp/employee/1  

{

    "name" :     "John",

    "sex" :      "Male",

    "age" :      25,

    "about" :    "I love to go rock climbing",

    "interests": [ "sports", "music" ]

}

更新,查询也是类似这样的操作,具体操作手册可以参见Elasticsearch权威指南

索引

Elasticsearch索引的精髓:

一切设计都是为了提高搜索的性能

另一层意思:为了提高搜索的性能,难免会牺牲某些其他方面,比如插入/更新,否则其他数据库不用混了。前面看到往Elasticsearch里插入一条记录,其实就是直接PUT一个json的对象,这个对象有多个fields,比如上面例子中的name, sex, age, about, interests,那么在插入这些数据到Elasticsearch的同时,Elasticsearch还默默的为这些字段建立索引--倒排索引,因为Elasticsearch最核心功能是搜索。

Elasticsearch是如何做到快速索引的

InfoQ那篇文章里说Elasticsearch使用的倒排索引比关系型数据库的B-Tree索引快,为什么呢?

什么是B-Tree索引?

上大学读书时老师教过我们,二叉树查找效率是logN,同时插入新的节点不必移动全部节点,所以用树型结构存储索引,能同时兼顾插入和查询的性能。因此在这个基础上,再结合磁盘的读取特性(顺序读/随机读),传统关系型数据库采用了B-Tree/B+Tree这样的数据结构:

|

为了提高查询的效率,减少磁盘寻道次数,将多个值作为一个数组通过连续区间存放,一次寻道读取多个数据,同时也降低树的高度。

什么是倒排索引?

|

继续上面的例子,假设有这么几条数据(为了简单,去掉about, interests这两个field):

| ID | Name | Age  |  Sex     |

| -- |:------------:| -----:| -----:| 

| 1  | Kate         | 24 | Female

| 2  | John         | 24 | Male

| 3  | Bill         | 29 | Male

ID是Elasticsearch自建的文档id,那么Elasticsearch建立的索引如下:

Name:

| Term | Posting List |

| -- |:----:|

| Kate | 1 |

| John | 2 |

| Bill | 3 |

Age:

| Term | Posting List |

| -- |:----:|

| 24 | [1,2] |

| 29 | 3 |

Sex:

| Term | Posting List |

| -- |:----:|

| Female | 1 |

| Male | [2,3] |

Posting List

Elasticsearch分别为每个field都建立了一个倒排索引,Kate, John, 24, Female这些叫term,而[1,2]就是Posting List。Posting list就是一个int的数组,存储了所有符合某个term的文档id。

看到这里,不要认为就结束了,精彩的部分才刚开始...

通过posting list这种索引方式似乎可以很快进行查找,比如要找age=24的同学,爱回答问题的小明马上就举手回答:我知道,id是1,2的同学。但是,如果这里有上千万的记录呢?如果是想通过name来查找呢?

Term Dictionary

Elasticsearch为了能快速找到某个term,将所有的term排个序,二分法查找term,logN的查找效率,就像通过字典查找一样,这就是Term Dictionary。现在再看起来,似乎和传统数据库通过B-Tree的方式类似啊,为什么说比B-Tree的查询快呢?

Term Index

B-Tree通过减少磁盘寻道次数来提高查询性能,Elasticsearch也是采用同样的思路,直接通过内存查找term,不读磁盘,但是如果term太多,term dictionary也会很大,放内存不现实,于是有了Term Index,就像字典里的索引页一样,A开头的有哪些term,分别在哪页,可以理解term index是一颗树:

|

这棵树不会包含所有的term,它包含的是term的一些前缀。通过term index可以快速地定位到term dictionary的某个offset,然后从这个位置再往后顺序查找。

|

所以term index不需要存下所有的term,而仅仅是他们的一些前缀与Term Dictionary的block之间的映射关系,再结合FST(Finite State Transducers)的压缩技术,可以使term index缓存到内存中。从term index查到对应的term dictionary的block位置之后,再去磁盘上找term,大大减少了磁盘随机读的次数。

这时候爱提问的小明又举手了:"那个FST是神马东东啊?"

一看就知道小明是一个上大学读书的时候跟我一样不认真听课的孩子,数据结构老师一定讲过什么是FST。但没办法,我也忘了,这里再补下课:

FSTs are finite-state machines that map a term (byte sequence) to an arbitrary output.

假设我们现在要将mop, moth, pop, star, stop and top(term index里的term前缀)映射到序号:0,1,2,3,4,5(term dictionary的block位置)。最简单的做法就是定义个Map,大家找到自己的位置对应入座就好了,但从内存占用少的角度想想,有没有更优的办法呢?答案就是:FST(对应文章)

|

⭕️表示一种状态

-->表示状态的变化过程,上面的字母/数字表示状态变化和权重

将单词分成单个字母通过⭕️和-->表示出来,0权重不显示。如果⭕️后面出现分支,就标记权重,最后整条路径上的权重加起来就是这个单词对应的序号。

FSTs are finite-state machines that map a term (byte sequence) to an arbitrary output.

FST以字节的方式存储所有的term,这种压缩方式可以有效的缩减存储空间,使得term index足以放进内存,但这种方式也会导致查找时需要更多的CPU资源。

后面的更精彩,看累了的同学可以喝杯咖啡……

压缩技巧

Elasticsearch里除了上面说到用FST压缩term index外,对posting list也有压缩技巧。 

小明喝完咖啡又举手了:"posting list不是已经只存储文档id了吗?还需要压缩?"

嗯,我们再看回最开始的例子,如果Elasticsearch需要对同学的性别进行索引(这时传统关系型数据库已经哭晕在厕所……),会怎样?如果有上千万个同学,而世界上只有男/女这样两个性别,每个posting list都会有至少百万个文档id。 Elasticsearch是如何有效的对这些文档id压缩的呢?

Frame Of Reference

增量编码压缩,将大数变小数,按字节存储

首先,Elasticsearch要求posting list是有序的(为了提高搜索的性能,再任性的要求也得满足),这样做的一个好处是方便压缩,看下面这个图例: 

|

如果数学不是体育老师教的话,还是比较容易看出来这种压缩技巧的。

原理就是通过增量,将原来的大数变成小数仅存储增量值,再精打细算按bit排好队,最后通过字节存储,而不是大大咧咧的尽管是2也是用int(4个字节)来存储。

Roaring bitmaps

说到Roaring bitmaps,就必须先从bitmap说起。Bitmap是一种数据结构,假设有某个posting list:

[1,3,4,7,10]

对应的bitmap就是:

[1,0,1,1,0,0,1,0,0,1]

非常直观,用0/1表示某个值是否存在,比如10这个值就对应第10位,对应的bit值是1,这样用一个字节就可以代表8个文档id,旧版本(5.0之前)的Lucene就是用这样的方式来压缩的,但这样的压缩方式仍然不够高效,如果有1亿个文档,那么需要12.5MB的存储空间,这仅仅是对应一个索引字段(我们往往会有很多个索引字段)。于是有人想出了Roaring bitmaps这样更高效的数据结构。

Bitmap的缺点是存储空间随着文档个数线性增长,Roaring bitmaps需要打破这个魔咒就一定要用到某些指数特性:

将posting list按照65535为界限分块,比如第一块所包含的文档id范围在0~65535之间,第二块的id范围是65536~131071,以此类推。再用<商,余数>的组合表示每一组id,这样每组里的id范围都在0~65535内了,剩下的就好办了,既然每组id不会变得无限大,那么我们就可以通过最有效的方式对这里的id存储。

|

细心的小明这时候又举手了:"为什么是以65535为界限?"

程序员的世界里除了1024外,65535也是一个经典值,因为它=2^16-1,正好是用2个字节能表示的最大数,一个short的存储单位,注意到上图里的最后一行“If a block has more than 4096 values, encode as a bit set, and otherwise as a simple array using 2 bytes per value”,如果是大块,用节省点用bitset存,小块就豪爽点,2个字节我也不计较了,用一个short[]存着方便。

那为什么用4096来区分大块还是小块呢?

个人理解:都说程序员的世界是二进制的,4096*2bytes = 8192bytes < 1KB, 磁盘一次寻道可以顺序把一个小块的内容都读出来,再大一位就超过1KB了,需要两次读。

联合索引

上面说了半天都是单field索引,如果多个field索引的联合查询,倒排索引如何满足快速查询的要求呢?

利用跳表(Skip list)的数据结构快速做“与”运算,或者

利用上面提到的bitset按位“与”

先看看跳表的数据结构:

|

将一个有序链表level0,挑出其中几个元素到level1及level2,每个level越往上,选出来的指针元素越少,查找时依次从高level往低查找,比如55,先找到level2的31,再找到level1的47,最后找到55,一共3次查找,查找效率和2叉树的效率相当,但也是用了一定的空间冗余来换取的。

假设有下面三个posting list需要联合索引:

|

如果使用跳表,对最短的posting list中的每个id,逐个在另外两个posting list中查找看是否存在,最后得到交集的结果。

如果使用bitset,就很直观了,直接按位与,得到的结果就是最后的交集。

总结和思考

Elasticsearch的索引思路:

将磁盘里的东西尽量搬进内存,减少磁盘随机读取次数(同时也利用磁盘顺序读特性),结合各种奇技淫巧的压缩算法,用及其苛刻的态度使用内存。

所以,对于使用Elasticsearch进行索引时需要注意:

不需要索引的字段,一定要明确定义出来,因为默认是自动建索引的

同样的道理,对于String类型的字段,不需要analysis的也需要明确定义出来,因为默认也是会analysis的

二、ElasticSearch权重打分

布尔模型

布尔模型(Boolean Model) 只是在查询中使用 ​AND​ 、 ​OR​ 和 ​NOT​ (与、或和非)这样的条件来查找匹配的文档,以下查询:

full AND text AND search AND (elasticsearch OR lucene)

会将所有包括词 ​full​ 、 ​text​ 和 ​search​ ,以及 ​elasticsearch​ 或 ​lucene​ 的文档作为结果集。

这个过程简单且快速,它将所有可能不匹配的文档排除在外。

词频/逆向文档频率(TF/IDF)

当匹配到一组文档后,需要根据相关度排序这些文档,不是所有的文档都包含所有词,有些词比其他的词更重要。一个文档的相关度评分部分取决于每个查询词在文档中的 权重

词的权重由三个因素决定,在 什么是相关 中已经有所介绍,有兴趣可以了解下面的公式,但并不要求记住。

词频

词在文档中出现的频度是多少?频度越高,权重 越高 。 5 次提到同一词的字段比只提到 1 次的更相关。词频的计算方式如下:

tf(t in d) = √frequency 

词 t 在文档 d 的词频( tf )是该词在文档中出现次数的平方根。

如果不在意词在某个字段中出现的频次,而只在意是否出现过,则可以在字段映射中禁用词频统计:

PUT /my_index

{

  "mappings": {

    "doc": {

      "properties": {

        "text": {

          "type":          "string",

          "index_options": "docs" 

        }

      }

    }

  }

}

逆向文档频率

词在集合所有文档里出现的频率是多少?频次越高,权重 越低 。常用词如 ​and​ 或 ​the​ 对相关度贡献很少,因为它们在多数文档中都会出现,一些不常见词如 ​elastic​ 或 ​hippopotamus​ 可以帮助我们快速缩小范围找到感兴趣的文档。逆向文档频率的计算公式如下:

idf(t) = 1 + log ( numDocs / (docFreq + 1)) 

词 t 的逆向文档频率( idf )是:索引中文档数量除以所有包含该词的文档数,然后求其对数。

字段长度归一值

字段的长度是多少?字段越短,字段的权重 越高 。如果词出现在类似标题 ​title​ 这样的字段,要比它出现在内容 ​body​ 这样的字段中的相关度更高。字段长度的归一值公式如下:

norm(d) = 1 / √numTerms 

字段长度归一值( norm )是字段中词数平方根的倒数。

字段长度的归一值对全文搜索非常重要,许多其他字段不需要有归一值。无论文档是否包括这个字段,索引中每个文档的每个 ​string​ 字段都大约占用 1 个 byte 的空间。对于 ​not_analyzed​ 字符串字段的归一值默认是禁用的,而对于 ​analyzed​ 字段也可以通过修改字段映射禁用归一值:

PUT /my_index

{

  "mappings": {

    "doc": {

      "properties": {

        "text": {

          "type": "string",

          "norms": { "enabled": false } 

        }

      }

    }

  }

}

对于有些应用场景如日志,归一值不是很有用,要关心的只是字段是否包含特殊的错误码或者特定的浏览器唯一标识符。字段的长度对结果没有影响,禁用归一值可以节省大量内存空间。

结合使用

以下三个因素——词频(term frequency)、逆向文档频率(inverse document frequency)和字段长度归一值(field-length norm)——是在索引时计算并存储的。最后将它们结合在一起计算单个词在特定文档中的 权重

前面公式中提到的 文档 实际上是指文档里的某个字段,每个字段都有它自己的倒排索引,因此字段的 TF/IDF 值就是文档的 TF/IDF 值。

boost_mode

multiply

评分 _score 与函数值的积(默认)

sum

评分 _score 与函数值的和

min

评分 _score 与函数值间的较小值

max

评分 _score 与函数值间的较大值

replace

函数值替代评分 _score

与使用乘积的方式相比,使用评分 _score 与函数值求和的方式可以弱化最终效果,特别是使用一个较小 factor 因子时:

GET /blogposts/post/_search

{

  "query": {

    "function_score": {

      "query": {

        "multi_match": {

          "query":    "popularity",

          "fields": [ "title", "content" ]

        }

      },

      "field_value_factor": {

        "field":    "votes",

        "modifier": "log1p",

        "factor":   0.1

      },

      "boost_mode": "sum" 

    }

  }

}

随机评分

你可能会想知道 一致随机评分(consistently random scoring) 是什么,又为什么会使用它。之前的例子是个很好的应用场景,前例中所有的结果都会返回 1 、 2 、 3 、 4 或 5 这样的最终评分 _score ,可能只有少数房子的评分是 5 分,而有大量房子的评分是 2 或 3 。

作为网站的所有者,总会希望让广告有更高的展现率。在当前查询下,有相同评分 _score 的文档会每次都以相同次序出现,为了提高展现率,在此引入一些随机性可能会是个好主意,这能保证有相同评分的文档都能有均等相似的展现机率。

我们想让每个用户看到不同的随机次序,但也同时希望如果是同一用户翻页浏览时,结果的相对次序能始终保持一致。这种行为被称为 一致随机(consistently random) 。

random_score 函数会输出一个 0 到 1 之间的数,当种子 seed 值相同时,生成的随机结果是一致的,例如,将用户的会话 ID 作为 seed :

GET /_search

{

  "query": {

    "function_score": {

      "filter": {

        "term": { "city": "Barcelona" }

      },

      "functions": [

        {

          "filter": { "term": { "features": "wifi" }},

          "weight": 1

        },

        {

          "filter": { "term": { "features": "garden" }},

          "weight": 1

        },

        {

          "filter": { "term": { "features": "pool" }},

          "weight": 2

        },

        {

          "random_score": { 

            "seed":  "the users session id" 

          }

        }

      ],

      "score_mode": "sum"

    }

  }

}

​ElasticSearch准确度提升​ 

三、Elasticserach存储优化

1. 关闭不需要的功能

默认情况下 ElasticSearch 会将 indexs 和 doc values 添加到大多数字段中,以便可以搜索和聚合它们。 例如,如果有一个名为 foo 的数字字段,需要运行 histograms 但不需要 filter,则可以安全地禁用映射中此字段的索引:

PUT ${INDEX_NAME}

{

  "mappings": {

    "type": {

      "properties": {

        "foo": {

          "type": "integer",

          "index": false

        }

      }

    }

  }

}

text 字段在索引中存储规范化因子以便能够对文档进行评分。 如果只需要在 text 字段上使用 matching 功能,但不关心生成的 score,则可以命令 ElasticSearch 配置为不将规范写入索引:

PUT ${INDEX_NAME}

{

  "mappings": {

    "type": {

      "properties": {

        "foo": {

          "type": "text",

          "norms": false

        }

      }

    }

  }

}

text 字段也默认存储索引中的频率和位置。 频率用于计算分数,位置用于运行短语查询(phrase queries)。 如果不需要运行短语查询,可以告诉 ElasticSearch 不要索引位置:

PUT ${INDEX_NAME}

{

  "mappings": {

    "type": {

      "properties": {

        "foo": {

          "type": "text",

          "index_options": "freqs"

        }

      }

    }

  }

}

此外,如果不关心计分,则可以配置 ElasticSearch 以仅索引每个 term 的匹配文档。 这样做仍然可以在此字段上进行搜索(search),但是短语查询会引发错误,评分将假定 term 在每个文档中只出现一次。

PUT ${INDEX_NAME}

{

  "mappings": {

    "type": {

      "properties": {

        "foo": {

          "type": "text",

          "norms": false,

          "index_options": "freqs"

        }

      }

    }

  }

}

2. 强制清除已标记删除的数据

Elasticsearch 是建立在 Apache Lucene 基础上的实时分布式搜索引擎,Lucene 为了提高搜索的实时性,采用不可再修改(immutable)方式将文档存储在一个个 segment 中。也就是说,一个 segment 在写入到存储系统之后,将不可以再修改。那么 Lucene 是如何从一个 segment 中删除一个被索引的文档呢?简单的讲,当用户发出命令删除一个被索引的文档#ABC 时,该文档并不会被马上从相应的存储它的 segment 中删除掉,而是通过一个特殊的文件来标记该文档已被删除。当用户再次搜索到 #ABC 时,Elasticsearch 在 segment 中仍能找到 #ABC,但由于 #ABC 文档已经被标记为删除,所以Lucene 会从发回给用户的搜索结果中剔除 #ABC,所以给用户感觉的是 #ABC 已经被删除了。

Elasticseach 会有后台线程根据 Lucene 的合并规则定期进行 segment merging 合并操作,一般不需要用户担心或者采取任何行动。被删除的文档在 segment 合并时,才会被真正删除掉。在此之前,它仍然会占用着JVM heap和操作系统的文件cach 等资源。在某些情况下,需要强制 Elasticsearch 进行 segment merging,已释放其占用的大量系统资源。

POST /${INDEX_NAME}/_forcemerge?max_num_segments=1&only_expunge_deletes=true&wait_for_completion=true

POST /${INDEX_PATTERN}/_forcemerge?max_num_segments=1&only_expunge_deletes=true&wait_for_completion=true

Force Merge 命令可强制进行 segment 合并,并删除所有标记为删除的文档。Segment merging 要消耗 CPU,以及大量的 I/O 资源,所以一定要在 ElasticSearch 集群处于维护窗口期间,并且有足够的 I/O 空间的(如:SSD)的条件下进行;否则很可能造成集群崩溃和数据丢失。

3. 减少副本数

最直接的存储优化手段是调整副本数,默认 ElasticSearch 是有 1 个副本的,假设对可用性要求不高,允许磁盘损坏情况下可能的数据缺失,可以把副本数调整为0,操作如下:

PUT  /_template/${TEMPLATE_NAME}

{


  "template":"${TEMPLATE_PATTERN}",

  "settings" : {

    "number_of_replicas" : 0

  },

  "version"  : 1

}

其中 ${TEMPLATE_NAME} 表示模板名称,可以是不存在的,系统会新建。${TEMPLATE_PATTERN} 是用于匹配索引的表达式,比如 lw-greenbay-online-*。

与此相关的一个系统参数为:index.merge.scheduler.max_thread_count,默认值为 Math.max(1, Math.min(4, Runtime.getRuntime().availableProcessors() / 2)),这个值在 SSD 上工作没问题,但是 SATA 盘上还是使用 1 个线程为好,因为太多也来不及完成。

# SATA 请设置 merge 线程为 1

PUT  /_template/${TEMPLATE_NAME}

{

  "template":"${TEMPLATE_PATTERN}",

  "settings" : {

    "index.merge.scheduler.max_thread_count": 1

  },

  "version"  : 1

}

4. 请勿使用默认的动态字符串映射

默认的动态字符串映射会将字符串字段索引为文本(text)和关键字(keyword)。 如果只需要其中的一个,这样做无疑是浪费的。 通常情况下,一个 id 字段只需要被索引为一个 keyword,而一个 body 字段只需要被索引为一个 text 字段。可以通过在字符串字段上配置显式映射或设置将字符串字段映射为文本(text)或关键字(keyword)的动态模板来禁用此功能。例如下面的模板,可以用来将 strings 字段映射为关键字:

PUT ${INDEX_NAME}

{

  "mappings": {

    "type": {

      "dynamic_templates": [

        {

          "strings": {

            "match_mapping_type": "string",

            "mapping": {

              "type": "keyword"

            }

          }

        }

      ]

    }

  }

}

5. 禁用 _all 字段

_all 字段是由所有字段拼接成的超级字段,如果在查询中已知需要查询的字段,就可以考虑禁用它。

PUT /_template/${TEMPLATE_NAME}

{

  "template": "${TEMPLATE_PATTERN}",

  "settings" : {...},

  "mappings": {

    "type_1": {

      "_all": {

         "enabled": false

       },

      "properties": {...}

   }

  },

  "version"  : 1

}

6. 使用 best_compression

_source 字段和 stored fields 会占用大量存储,可以考虑使用 best_compression 进行压缩。默认的压缩方式为 LZ4,但需要更高压缩比的话,可以通过 inex.codec 进行设置,修改为 DEFLATE,在 force merge 后生效:

# Step1. 修改压缩算法为 best_compression

PUT  /_template/${TEMPLATE_NAME}

{


  "template":"${TEMPLATE_PATTERN}",

  "settings" : {

    "index.codec" : "best_compression"

  },

  "version"  : 1

}


# Step2. force merge

POST /${INDEX_NAME}/_forcemerge?max_num_segments=1&wait_for_completion=true

POST /${INDEX_PATTERN}/_forcemerge?max_num_segments=1&wait_for_completion=true

7. 使用最优数据格式

我们为数字数据选择的类型可能会对磁盘使用量产生重大影响。 首先,应使用整数类型(byte,short,integer或long)来存储整数,浮点数应该存储在 scaled_float 中,或者存储在适合用例的最小类型中:使用 float 而不是 double,使用 half_float 而不是 float。

PUT /_template/${TEMPLATE_NAME}

{

  "template": "${TEMPLATE_PATTERN}",

  "settings" : {...},

  "mappings": {

    "type_1": {

      "${FIELD_NAME}": {

         "type": "integer"

       },

      "properties": {...}

   }

  },

  "version"  : 1

}

四、Elasticserach搜索速度优化

1. 避免Join和Parent-Child

Join会使查询慢数倍、 Parent-Child会使查询慢数百倍,请在进行 query 语句编写的时候尽量避免。

2. 映射

某些数据本身是数字,但并不意味着它应该总是被映射为一个数字字段。 通常存储着标识符的字段(如ISBN)或来自另一个数据库的数字型记录,可能映射为 keyword 而不是 integer 或者 long 会更好些。

3. 避免使用 Scripts

之前 Groovy 脚本曝出了很大的漏洞,总的来说是需要避免使用的。如果必须要使用,尽量用 5.X 以上版本自带的 painless 和 expressions 引擎。

4. 根据四舍五入的日期进行查询

根据 timestamp 字段进行的查询通常不可缓存,因为匹配的范围始终在变化。 但就用户体验而言,以四舍五入对日期进行转换通常是可接受的,这样可以有效利用系统缓存。举例说明,有以下查询:

PUT index/type/1

{

  "my_date": "2016-05-11T16:30:55.328Z"

}


GET index/_search

{

  "query": {

    "constant_score": {

      "filter": {

        "range": {

          "my_date": {

            "gte": "now-1h",

            "lte": "now"

          }

        }

      }

    }

  }

}

可以对时间范围进行替换:

GET index/_search

{

  "query": {

    "constant_score": {

      "filter": {

        "range": {

          "my_date": {

            "gte": "now-1h/m",

            "lte": "now/m"

          }

        }

      }

    }

  }

}

在这种情况下,我们四舍五入到分钟,所以如果当前时间是 16:31:29 ,范围查询将匹配 my_date 字段的值在 15:31:00 和16:31:59 之间的所有内容。 如果多个用户在同一分钟内运行包含这个范围的查询,查询缓存可以帮助加快速度。 用于四舍五入的时间间隔越长,查询缓存可以提供的帮助就越多,但要注意过于积极的舍入也可能会伤害用户体验。

为了能够利用查询缓存,建议将范围分割成大的可缓存部分和更小的不可缓存的部分,如下所示:

GET index/_search

{

  "query": {

    "constant_score": {

      "filter": {

        "bool": {

          "should": [

            {

              "range": {

                "my_date": {

                  "gte": "now-1h",

                  "lte": "now-1h/m"

                }

              }

            },

            {

              "range": {

                "my_date": {

                  "gt": "now-1h/m",

                  "lt": "now/m"

                }

              }

            },

            {

              "range": {

                "my_date": {

                  "gte": "now/m",

                  "lte": "now"

                }

              }

            }

          ]

        }

      }

    }

  }

}

然而,这种做法可能会使查询在某些情况下运行速度较慢,因为由 bool 查询引入的开销可能会因更好地利用查询缓存而失败。

5. 对只读 indices 进行 force merge

建议将只读索引被合并到一个单独的分段中。 基于时间的索引通常就是这种情况:只有当前时间索引会写入数据,而旧索引是只读索引。

6. 预热 global ordinals

全局序号(global ordinals)是用于在关键字(keyword)字段上运行 terms aggregations 的数据结构。 由于 ElasticSearch 不知道聚合使用哪些字段、哪些字段不使用,所以它们在内存中被加载得很慢。 我们可以通过下面的 API 来告诉 ElasticSearch 通过配置映射来在 refresh 的时候加载全局序号:

PUT index

{

  "mappings": {

    "type": {

      "properties": {

        "foo": {

          "type": "keyword",

          "eager_global_ordinals": true

        }

      }

    }

  }

}

五、Elasticserach审计优化

开启慢查询日志

不论是数据库还是搜索引擎,对于问题的排查,开启慢查询日志是十分必要的,ElasticSearch 开启慢查询的方式有多种,但是最常用的是调用模板 API 进行全局设置:

PUT  /_template/{TEMPLATE_NAME}

{


  "template":"{INDEX_PATTERN}",

  "settings" : {

    "index.indexing.slowlog.level": "INFO",

    "index.indexing.slowlog.threshold.index.warn": "10s",

    "index.indexing.slowlog.threshold.index.info": "5s",

    "index.indexing.slowlog.threshold.index.debug": "2s",

    "index.indexing.slowlog.threshold.index.trace": "500ms",

    "index.indexing.slowlog.source": "1000",

    "index.search.slowlog.level": "INFO",

    "index.search.slowlog.threshold.query.warn": "10s",

    "index.search.slowlog.threshold.query.info": "5s",

    "index.search.slowlog.threshold.query.debug": "2s",

    "index.search.slowlog.threshold.query.trace": "500ms",

    "index.search.slowlog.threshold.fetch.warn": "1s",

    "index.search.slowlog.threshold.fetch.info": "800ms",

    "index.search.slowlog.threshold.fetch.debug": "500ms",

    "index.search.slowlog.threshold.fetch.trace": "200ms"

  },

  "version"  : 1

}

对于已经存在的 index 使用 settings API:

PUT {INDEX_PAATERN}/_settings

{

    "index.indexing.slowlog.level": "INFO",

    "index.indexing.slowlog.threshold.index.warn": "10s",

    "index.indexing.slowlog.threshold.index.info": "5s",

    "index.indexing.slowlog.threshold.index.debug": "2s",

    "index.indexing.slowlog.threshold.index.trace": "500ms",

    "index.indexing.slowlog.source": "1000",

    "index.search.slowlog.level": "INFO",

    "index.search.slowlog.threshold.query.warn": "10s",

    "index.search.slowlog.threshold.query.info": "5s",

    "index.search.slowlog.threshold.query.debug": "2s",

    "index.search.slowlog.threshold.query.trace": "500ms",

    "index.search.slowlog.threshold.fetch.warn": "1s",

    "index.search.slowlog.threshold.fetch.info": "800ms",

    "index.search.slowlog.threshold.fetch.debug": "500ms",

    "index.search.slowlog.threshold.fetch.trace": "200ms"

}

这样,在日志目录下的慢查询日志就会有输出记录必要的信息了。

相关引用

ref:https://www.elastic.co/cn/blog/frame-of-reference-and-roaring-bitmaps

ref:http://roaringbitmap.org/

ref:https://www.elastic.co/guide/cn/elasticsearch/guide/current/scoring-theory.html#field-norm

ref:https://www.520mwx.com/view/44635

ref:https://blog.csdn.net/laoyang360/article/details/88784748

你可能感兴趣的:(ElasticSearch知识分享)